ماذا سيكون رد فعلك، إذا دخلت إلى موقع أحد الشركات التجارية الكبرى، أو أحد مواقع إنترنت الحكومية، بقصد الحصول على بيانات رسمية معينة، وإذ برسالة بذيئة، تطالعك في الصفحة الرئيسية من هذا الموقع؟!

إذا كنت مستخدماً عادياً، فستنتقل بسرعة، غالباً، من حالة الصدمة والاندهاش، إلى حالة السخرية من الموقع والجهة التي يمثلها! أما إذا كنت مشرفاً على هذا الموقع، أو مسؤولاً عن الشبكة التي ينتمي إليها، فنتوقع أن يؤدي مزيج المشاعر التي ستنتابك، إلى تصبب العرق منك بغزارة.. لأنك ستكون أنت، موضع السخرية!
حدث الموقفان السابقان ملايين المرات، خلال شهر فبراير/ شباط الفائت.. فقد وقعت عشرات من عمليات اختراق مزودات ويب، نفذتها مجموعات مختلفة من المخترقين في مناطق عديدة من العالم. وهدف بعضها إلى تشويه مواقع ويب (defacement)، وذلك بتغيير الصفحة الرئيسية فيها، وتَمثّل بعضها الآخر في هجمات حجب الخدمة الموزعة DDoS (distributed denial of service)، التي هدفت، كما أشار المحللون، إلى تدمير شبكة إنترنت بالكامل! وكانت مواقع ويب حكومية عربية، ضحية عدد كبير نسبياً من تلك العمليات. وقد تتبع فريق ضها، وقت حدوثها ج تتكرر عمليات التشويه بشكل يومي، تقريباً، في عدد كبير جداً من مواقع ويب، إلا أن الأمر الذي لفت الانتباه إليها في هذه الفترة تحديداً، هو ترافقها مع عمليات الاختراق التي أصابت أكبر مواقع إنترنت العالمية، على شكل هجمات حجب الخدمة. لكن، كيف حدثت هذه الهجمات والتشويهات؟ ومن وراءها؟ وما هي أهدافها؟

تشويه مواقع ويب
هل شاهدت أفلاماً سينمائية قديمة، تدور أحداثها حول عمليات القرصنة البحرية، التي كانت تتم في القرون الماضية؟ ربما كان أكثر المشاهد بروزاً في هذه الأفلام، هو مشهد إنزال علم السفينة التجارية، ورفع علم القراصنة (المكون من عظام وجمجمة) مكانه، للدلالة على السيطرة والنصر!

يوجد تشابه كبير، بين عمليات تشويه مواقع ويب (defacement)، ومشهد إنزال علم دولة معينة، عن السفينة، ورفع علم القراصنة مكانه، حيث أن عملية التشويه، في أغلب الأحيان، ليست سوى تغيير الصفحة الرئيسية للموقع، بصفحة أخرى، يعلن المخترق فيها انتصاره على نظام مزود ويب، والإجراءات الأمنية للشبكة، ويقصد من ورائها إبراز قدراته التقنية، وإعلان تحديه للمشرفين على نظم مزودات ويب، ليثبت لنفسه، أو لغيره، امتلاكه المقدرة التقنية على كسر نظام الحماية في هذه المزودات، الأمر الذي يتطلب معرفة معمقة، لطريقة عمل إنترنت، وبروتوكولات التشبيك، وأنظمة التشغيل المختلفة التي تعمل عليها مزودات ويب. وتتضمن الصفحة الجديدة أحياناً، رسالة يرغب الشخص الذي قام بعملية التشويه إيصالها للعالم. وقد تتضمن هذه الرسالة اعتراضاً منه على حالة سياسية أو اجتماعية، أو صرخة يريد إيصالها، إلى كل من يزور هذا الموقع!

وتقتصر الأضرار التي تتسبب بها عمليات تشويه مواقع ويب، على الإضرار بسمعة الجهة المالكة للموقع، حيث يتم تغيير الصفحة الرئيسية فقط من الموقع، بصفحة HTML من تصميم المخترق، الذي يقتصر هدفه، كما ذكرنا، على إيصال رسالته إلى العالم عبر الموقع. ولا يلجأ المخترقون، عادةً، في عمليات التشويه إلى تدمير محتويات الموقع، حيث يمكنك في أغلب المواقع التي تتعرض لعمليات التشويه، الوصول إلى جميع صفحات المكونة الموقع، إذا كنت تعلم عنوان الصفحة كاملاً. وقد تمكنا، مثلاً، من الوصول إلى مختلف صفحات موقع مكتبة الشارقة www.shjlib.gov.ae، الذي تابعنا عملية تشويهه وقت حدوثها، خلال فترة ظهور الصفحة المشوهة عليه، وذلك قبل أن يفصله المشرفون عليه، عن الخدمة!

كيف تحدث عمليات تشويه موقع ويب؟
يتبع المخترقون أساليب عدة، في عمليات تشويه صفحات ويب. وتختلف هذه الأساليب من موقع إلى آخر، بناءً على نوع نظام التشغيل، ومزود ويب الذي يعتمد عليه الموقع. ونوضح هنا، أكثر هذه الأساليب انتشاراً:

1 الدخول بهوية مخفية (anonymous)، عبر منفذ بروتوكول FTP: تمكن هذه الطريقة، في بعض الحالات، المخترق من الحصول على ملف كلمة الدخول المشفرة، الخاصة بأحد المشرفين على الشبكة، أو من يملكون حق تعديل محتويات الموقع، والعمل على فك تشفيرها، حيث يتم إرسال كلمة السر مشفرة في مختلف المزودات. لكن هذه الشيفرة، تظهر في بعض المزودات، ضمن ملف كلمة السر، ويظلل البعض الآخر من المزودات، هذه الكلمة بعد تشفيرها (أي يظهر حرف x مكان كل رمز من الكلمة المشفرة). وتصعب الحالة الأخيرة على المخترقين، عملية كسر الشيفرة.

ويلجأ المخترقون، بعد الحصول على ملف كلمة السر، إلى استخدام برامج خاصة لتخمين كلمات السر. ومن أكثر هذه البرامج انتشاراً: Cracker Jack، وJohn The Ripper، وJack The Ripper، وBrute Force Cracker. وتعمل هذه البرامج على تجربة جميع الاحتمالات الممكنة لكلمة السر، من حروف وأرقام ورموز، لكنها تستغرق وقتاً أطول في التوصل إلى هذه الكلمة، إذا احتوت على عدد أكبر من الرموز. وقد تصل الفترة التي تتطلبها هذه البرامج، للتوصل إلى كلمة السر، إلى سنوات، بناءً على عدد الرموز المستخدمة، والنظام المستخدم في عمليات التخمين. وننصح باستخدام كلمة سر طويلة نسبياً، وتغييرها خلال فترات متقاربة، للتقليل من احتمال توصل أحد المخترقين إليها. فمن شأن حصول المخترق على كلمة السر الخاصة لأحد المشرفين، السماح له بالدخول إلى مزود ويب، وتغيير الصفحة الرئيسية.

2 استغلال الثغرات الأمنية في مزودات ويب، وأنظمة التشغيل:لا يخلو أي نظام تشغيل، أو مزود ويب، من ثغرات أمنية تعرض مستخدميه لخطر الاختراق، ويعمل المطورون بشكل مستمر، على سد هذه الثغرات، كلما اكتشفت. ويستغل الهكرة هذه الثغرات الأمنية في عمليات الاختراق، إلى أن تجد الشركة المصممة للنظام، الحل المناسب لها. وتبقى بعض الثغرات متاحة لفترة طويلة حتى يتم اكتشافها، وذلك لأن أغلب هذه الثغرات يكتشفها الهكرة، الذين لا يعلنون عنها بسرعة، ليتمكنوا من استغلالها فترة أطول! وننصح لذلك، جميع مدراء ومشرفي الشبكات، بمتابعة مواقع الشركات المصممة لنظم التشغيل، ومزودات ويب، للاطلاع على آخر ما تم التوصل إليه من ثغرات أمنية، وجلب برامج الترقيع (patches) لها، حيث تحرص هذه الشركات على تقديم مثل هذه البرامج بأسرع وقت ممكن. يمكنك الاطلاع على آخر .

3 استخدام بروتوكول Telnet: تسمح كثير من الثغرات الأمنية في الأنظمة المختلفة، سواء كانت يونكس، أو ويندوز، أو غيرها، باستخدام تطبيقات تعتمد على بروتوكول Telnet، الذي يسمح بالوصول إلى أجهزة الكمبيوتر عن بعد، وتنفيذ الأوامر عليها. ويمكن استخدام هذا البروتوكول للدخول إلى مزودات ويب، وتغيير الصفحات فيها.

مواقع مختصة بأمن المعلومات · فريق الاستجابة الطارئة للكمبيوتر http://www.cert.org/
أحد المواقع ذات الشعبية، التي تتابع القضايا الأمنية الخاصة بإنترنت.
· مايكروسوفت url]www.microsoft.com/security[/url]
تشرح شركة مايكروسوفت في هذا الموقع، أهم المشاكل الأمنية المتعلقة بمنتجاتها.
· موقع RootShell http://www.rootshell.com/
يعرض الموقع قوائم بالثغرات الأمنية التي تعاني منها أنظمة التشغيل المختلفة، ومنها ويندوز، ويونكس، وNT.
· موقع Webtrends [url]www.webtrends.net/tools/security/scan.asp [/url]
يقدم هذا الموقع مجاناً، إمكانية فحص مستوى الأمان في جهازك.

تاريخ عمليات تشويه صفحات ويب

بلغ عدد عمليات تشويه صفحات ويب، التي رصدت في أنحاء العالم منذ العام 1995، وحتى الآن، حوالي 5000 عملية، توزعت على مختلف مواقع ويب، التي تملك أسماء نطاقات تجارية (com وnet، وorg)، ونطاقات محلية في جميع دول العالم تقريباً. وتشير الدراسات، إلى أن حوالي 20 في المائة من عمليات التشويه، تتم يوم الأحد. ويرجح السبب في ذلك، إلى أن تغيير الصفحة الرئيسية في موقع معين يوم العطلة الأسبوعية (في معظم دول العالم)، يضمن بقاء التغيير أطول مدة ممكنة، إلى أن يعود مدير الشبكة وموظفو الشركات، من إجازتهم، ويرجعوا الصفحة الأصلية للموقع، إلى ما كانت.

وحدثت أوائل عمليات التشويه في العالم، العام 1995، ولم تتعدَ في ذلك الوقت، أربع عمليات. وتلتها 18 عملية العام 1996، و28 عملية سنة 1997، ثم تضاعفت العام 1998، عشر مرات، ليصل العدد إلى 233 عملية. وانتشرت حمى تشويه مواقع إنترنت سنة 1999، ليتضاعف عددها حوالي 15 مرة، وليبلغ 3699 عملية تشويه في مختلف أنحاء العالم، ومن ضمنها 16 عملية تمت على مواقع محلية في الدول العربية! وكانت المواقع المحلية البرازيلية، أكثر دول العالم إصابة بعمليات التشويه، وبلغ عدد العمليات فيها، 178 عملية، تلتها الولايات المتحدة الأمريكية، التي بلغ عدد العمليات فيها 126 عملية.

وجدير بالذكر أن كثيراً من عمليات التشويه، مرت بدون أن يذاع صيتها، فلم تدخل ضمن هذه الإحصائيات. ويتوقع لذلك، أن يكون عدد عمليات التشويه الفعلية التي تمت، أكبر من العدد المذكور!

هجمات حجب خدمة: الهدف.. تدمير إنترنت!
"الوصول إلى هذا الموقع، غير ممكن!"
قد تعني الرسالة السابقة أن الموقع الذي تحاول أن تزوره، تعرض لهجمات حجب الخدمة، خاصة إذا كان واحداً من المواقع الكبرى، التي يعني ظهور مثل هذه الرسالة في موقعها، خسارة عشرات الآلاف من الدولارات!

يكمن الفرق بين عمليات التشويه، وبين هجمات حجب الخدمة DoS (denial of service)، أن الأولى تتم عن طريق اختراق مزودات ويب، وتتم الثانية عن طريق توجيه جهة معينة، حزم بيانات شبكية بصورة كثيفة جداً، إلى هذه المزودات، بهدف إيقافها عن العمل. ويعتبر القيام بمثل هذه الهجمات سهلاً للغاية، حيث يوجد عدد كبير من البرامج التي يمكن استخدامها لتوجيه الطلبات والحزم الشبكية إلى هدف محدد، كموقع إنترنت، أو عنوان IP.

اعتمدت أولى هجمات حجب الخدمة، التي ظهرت في العالم، على توجيه طلبات كثيفة باستخدام بروتوكول رسائل التحكم بإنترنت ICMP (Internet Control Message Protocol)، الذي يسمح بتبادل رسائل التحكم، والتعامل مع رسائل الخطأ، بين مزودات ويب. وتحدث هذه الهجمات اليوم، باستخدام منافذ بروتوكولات TCP، وUDP، بالإضافة إلى ICMP، في تسليط سيل من الرزم الشبكية إلى مزودات معينة، عبر أوامر، مثل Ping. ومن أشهر الهجمات، تلك التي تستخدم نوع الهجوم المعروف باسم WinNuke، والتي تسلط سيلاً من الحزم الشبكية عبر المنفذ 139 من نظام NetBIOS، الذي يسمح بتحاور التطبيقات الموجودة على الأجهزة المرتبطة بالشبكة.

وتوجد بالإضافة إلى ما سبق، عشرات الطرق التي يمكن اتباعها لدفع الحزم أو الطلبات الشبكية، إلى مزودات معينة، لإيقافها عن العمل، سواء كانت مزودات ويب، أو مزودات بريد إلكتروني، أو أي مزود يمكنه أن يستقبل الحزم الشبكية. وتعرف أنواع هذه الهجمات، بأسماء غريبة، منها: SYN، وSmurf، وFloods، وLand، وPing Bomb، وPing O'Death، وFraggle، بالإضافة إلى Winnuke، المذكور سابقاً. والأمر الذي يزيد الطين بلة، بالإضافة إلى سهولة القيام بمثل هذه الهجمات، هو أن توقعها، أو صدها صعب جداً! لكن ما دوافع هذه الهجمات؟!

توجد عدة أهداف، قد تدفع جهة معينة، أو شخصاً معيناً، إلى القيام بمثل هذه الهجمات، وأهمها:

1-التسلل إلى النظام: يمكن أن يتمكن بعض المخترقين من التسلل إلى النظام وقت انهياره وحجبه عن الخدمة، أو وقت إعادة إقلاعه. وتوجد عدة طرق لذلك، على مختلف الأنظمة، وهي أحد الأسباب الأكثر منطقية لمثل هذه الهجمات.

2-أسباب سياسية: قد توجه جهة معينة، مثل هذه الهجمات، إلى موقع حكومي يتبع دولة تعاديها، أو موقع شركة تنتمي إلى هذه الدولة. ويتوقع أن تزداد في المستقبل، الهجمات ذات الأهداف السياسية، مع ازدياد انتشار إنترنت!

3-أسباب اقتصادية: قد توجه شركة صغيرة مثل هذه الهجمات، إلى شركة كبيرة تسيطر على السوق، في نوع من المنافسة التجارية غير الشريفة!

4-الانتقام: يحدث كثيراً، أن تسرّح شركة أحد الموظفين المسؤولين عن إدارة الشبكة. وقد يلجأ بعض هؤلاء، إذا ما شعروا بالظلم، إلى الانتقام من الشركة!

5- الطبيعة التخريبية: يلجأ بعض الأشخاص إلى مثل هذه الهجمات، لإشباع رغبات تخريبية تتملكهم!

ليسوا هكرة!
أثارت العمليات التخريبية الأخيرة، من جديد، حفيظة المدافعين عن المفهوم الحقيقي للهاكر، الذي لا يحتوي على أي معنىً تخريبي، ويطلق أصلاً، على كل محب للتعمق في المعرفة التقنية. وكان السبب في ذلك، الحملة الإعلامية الكبيرة، التي شنّتها وسائل الإعلام المختلفة، على من يطلق عليهم خطأً لقب الهكرة، نتيجة لهذه العمليات، وهم في الحقيقة، ليسوا سوى بعض المراهقين، الذين حصلوا على مجموعة من البرامج، أو النصوص البرمجية الجاهزة، التي تقوم بهذه الهجمات، وبدءوا باستغلالها في شن هجمات حجب الخدمة على مواقع إنترنت المختلفة. وأطلق المحللون، والهكرة الحقيقيون، لقب "أطفال النصوص البرمجية" (Script kiddies) على هؤلاء! وهم مجموعة من الأشخاص الذين يملكون الحد الأدنى من المعرفة التقنية في مجال الشبكات، ويسبرون مواقع إنترنت، بحثاً عن المزودات التي تتضمن ثغرة معينة، سعياً وراء استغلالها لتدمير الموقع. وتشير تحريات مكتب التحقيقات الفيدرالي (FBI) الأمريكي، إلى أن الشكوك تحوم حول شخصين، يدعيان Mafiaboy، وCoolio ظهرت اسماهما في عدد من مواقع إنترنت السفلية.

أكبر عملية حجب خدمة في تاريخ إنترنت!
تعتبر هجمات حجب الخدمة الموزعة DDoS (Distributed Denial of Service)، نوعاً جديداً من هجمات حجب الخدمة العادية التي تعتمد على استخدام برامج معينة في الهجوم. وهذا النوع من الهجمات، هو الذي استخدم في الهجوم على كبرى مواقع إنترنت، مثل ZDNet وYahoo!، وeBay، وAmazon، وCNN، وغيرها. وتعتمد هذه الهجمات على تجنيد أجهزة كمبيوتر متصلة بإنترنت، بدون علم مالكيها، وتوجيهها إلى بث الرزم الشبكية إلى مزود معين، بهدف إيقافه عن العمل، نتيجة ضغط البيانات المستقبلة.

ويعتمد هذا النوع من الهجمات على وضع برنامج خبيث خاص، من نوع "حصان طروادة" (Trojan horse)، في كل كمبيوتر متصل بإنترنت يمكن الوصول إليه، عن طريق إرسال البرنامج بواسطة البريد الإلكتروني، مثلاً، وتفعيله على هذه الأجهزة، لتعمل كأجهزة بث للرزم الشبكية، عند تلقيها الأمر بذلك من برنامج محدد يقبع على جهاز أحد المخترقين. ومن أشهر البرامج المستخدمة في إجراء هذه الهجمات: TRINOO، وTribe FloodNet، وTFN2K، وstacheldraht. ويعتبر هذا النوع من هجمات حجب الخدمة، أكثر الأنواع خطورة، حيث يمكن أن يشكل خطراً على شبكة إنترنت كلها، وليس على بعض المواقع فقط، حيث أن كل موقع من المواقع التي أصيبت في شهر فبراير/ شباط الفائت، بهذا النوع من هجمات حجب الخدمة، هي مواقع تحجز جزءاً كبيراً من حزمة البيانات في إنترنت، ما قد يهدد الشبكة بالكامل. وإن حدث ذلك يوماً، فنتوقع أن يشهد العالم أزمة اقتصادية شاملة!

ما الحل؟!
معلومات تقنية مهمة، للتصدي لهجمات حجب الخدمة

إذا كنت تعمل مديراً لشبكة ويب، أو كنت مسؤولاً عن أحد مواقع ويب، فمن المؤكد أن تكون عمليات التشويه وحجب الخدمة الأخيرة، التي تمت خلال شهر فبراير/ شباط الفائت، والتي طالت أكبر مواقع إنترنت في الدول العربية والعالم، سببت لك قلقاً كبيراً على وظيفتك، وربما بعضاً من الكوابيس ليلاً! وننصحك لذلك، بالاطلاع على الدراسات التقنية في المواقع التالية، التي تشرح بتوسع طرق عمل عمليات حجب الخدمة، مع عرض أفضل الوسائل التقنية للوقاية منها، وتحري مصادرها:

الدراسة الموقع
خلاصة ورشة عمل، أجرتها منظمة CERT، للتعامل مع هجمات حجب الخدمة http://www.cert.org/reports/dsit_workshop.pdf
دراسة لاستراتيجيات الوقاية من هجمات حجب الخدمة الموزعة، تقدمها شركة Cisco http://www.cisco.com/warp/public/707/22.html
شرح تقني مهم، لطرق التقليل من مخاطر هجمات Smurf، وfraggle http://users.quadrunner.com/chuegen/smurf.cgi
ماذا تفعل عند إصابة نظامك ببرامج حصان طروادة، الخاص بهجمات DDoS؟ http://www.sans.org/y2k/DDoS.htm
أساليب الوقاية التي يجب أن يتبعها مقدمو خدمة إنترنت (ISPs) http://www.cs.washington.edu/homes/savage/traceback.html
التعامل مع هجمات DDoS الناتجة عن برنامجي TRINOO، وTFN http://xforce.iss.net/alerts/advise40.php3

إنذار.. برنامج جديد لشن هجمات حجب الخدمة الموزعة
استخدمت جميع هجمات حجب الخدمة التي تمت في شهر فبراير الفائت، برامج من نوع حصان طروادة، لا تعمل إلا على أنظمة يونكس، ولين***فقط، ما يعني أن مستخدمي أنظمة ويندوز كانوا في أمان نسبي، من أن تُستخدم أجهزتهم، بدون علمهم، لشن هجمات على مواقع إنترنت معينة. لكن شركة TrendMicro، التي تعمل في مجال الحماية من الفيروسات، كشفت أواخر الشهر ذاته، عن انتشار برنامج (TROJ_TRINOO) الجديد من نوع حصان طروادة، تمت برمجته لشن هجمات حجب الخدمة هذه المرة، من أنظمة ويندوز!

وهذا البرنامج هو زبون لبرنامج Trinoo، الذي يعمل كمركز القيادة، لشن هذه الهجمات.. فإذا تمكن أحد المخترقين، وضع هذا البرنامج في نظامك، بدون علمك، عن طريق إرساله بالبريد الإلكتروني، مثلاً، فإنه سيتمكن من استخدام جهازك لشن الهجمات على أي مزود متصل بإنترنت. ولا يحتاج في هذه الحالة، إلا إلى معرفة عنوان IP لجهازك، خلال اتصالك بإنترنت! ويمكنك التأكد من خلو نظامك من هذا البرنامج، كما يلي:

افصل اتصال جهازك بإنترنت، ثم شغّل برنامج محرر سجل النظام (Regedit.exe)، واذهب إلى المفتاح (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run)، وابحث عن الملف SERVICE.EXE (وليس الملف SERVICES.EXE، الموجود أصلاً في أنظمة NT، و2000)، واحذفه من النظام، إن وجد، ثم أعد تشغيل الجهاز. ويمكنك التأكد من أن الملف الذي تحذفه هو هذا البرنامج الخبيث، بالتأكد من حجمه، الذي يعادل 23145 بايت. وجدير بالذكر أن معظم برامج الحماية من الفيروسات ستطرح تحديثات تحمي من هذا البرنامج، في أحدث إصداراتها

صفحة البداية